firewalld: interfaz que cambia de zona de forma autónoma

tag-icon tag-icon docker firewalld rhel8
firewalld: interfaz que cambia de zona de forma autónoma

Tengo un sistema RHEL8 que actúa como nodo trabajador de Docker Swarm. Tiene firewalldhabilitada y tiene una dockerzona a la que están asignadas las interfaces docker0y .docker_gwbridge

$ cat /etc/firewalld/zones/docker.xml
<?xml version="1.0" encoding="utf-8"?>
<zone version="1.0" target="ACCEPT">
  <short>docker</short>
  <description>zone for docker bridge network interfaces</description>
  <interface name="docker_gwbridge"/>
  <interface name="docker0"/>
</zone>

Después de reiniciar, firewalldreiniciar o recargar, estas interfaces aparecen en la zona correcta, según firewall-cmd --get-active-zones.

$ firewall-cmd --get-active-zones
docker
  interfaces: docker_gwbridge docker0
internal
  interfaces: vethb6daacd veth0a3a13c veth3922477 veth1fc2c24 veth35f6f77 veth172d461 vethf457e97 vethed46b94 vethc3293eb vethe6c08de vethb1c5fb6 vethd6bcfd8 eth0

Sin embargo, después de algunos minutos (normalmente menos de una hora), se trasladan a internalla zona, rompiendo la red en los contenedores.

$ firewall-cmd --get-active-zones
internal
  interfaces: vethb6daacd veth0a3a13c veth3922477 veth1fc2c24 veth35f6f77 veth172d461 vethf457e97 vethed46b94 vethc3293eb vethe6c08de vethb1c5fb6 vethd6bcfd8 eth0 docker_gwbridge docker0 veth5686e56 vetha51060c vethde79c75

A firewall-cmd --reloadlo arregla de nuevo por un tiempo.

Esta preguntaParecía relevante, pero estas interfaces (si lo interpreto correctamente) no son administradas por NetworkManager, así que no creo que sea un error.

$ nmcli device
DEVICE           TYPE      STATE                   CONNECTION
eth0             ethernet  connected               eth0
docker0          bridge    connected (externally)  docker0
docker_gwbridge  bridge    connected (externally)  docker_gwbridge
veth5686e56      ethernet  unmanaged               --
vetha51060c      ethernet  unmanaged               --
vethde79c75      ethernet  unmanaged               --
lo               loopback  unmanaged               --

$ ls /etc/sysconfig/network-scripts/
ifcfg-eth0

No encuentro nada interesante en /var/log/firewalld. Tengo varios otros nodos que teóricamente están configurados de la misma manera donde este problema no ocurre.

No configuré los nodos y no soy administrador de sistemas, ¡pero estoy tratando de resolverlo! ¿Alguna palabra de sabiduría?

Respuesta1

Parece que una tarea de Chef es la causa de esto, ya que Chef inexplicablemente está configurado de manera diferente entre los servidores en funcionamiento y los averiados.

información relacionada